<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
<body>
    
</body>
<script>
    // 问题：全局可访问的属性可能被恶意代码篡改或利用。

    // 攻击示例：
    // 攻击者注入的代码
    window.userToken = 'hijacked-token'; // 覆盖敏感数据

</script>
</html>